Futuros
Aceda a centenas de contratos perpétuos
CFD
Ouro
Plataforma de ativos tradicionais globais
Opções
Hot
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Negociação de demonstração
Introdução à negociação de futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para recompensas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
CFD
Derivados CFD de ações dos EUA
Ações dos EUA
Aceder a ações e ETF reais dos EUA
Ações de Hong Kong
Negociar ações de qualidade cotadas em Hong Kong
Ações coreanas
SK Hynix
Negoceie ações coreanas reais e invista em ativos populares
Futuros de ações
Alta alavancagem, negociação 24/7
Ações tokenizadas
Garantido por ativos de ações reais
IPO Access
Desbloquear acesso completo a IPO de ações globais
GUSD
Cunhe GUSD para rendimentos de RWA do Tesouro
Atividades de ações
Negociar ações populares e desbloquear airdrops generosos
Lançamento
CandyDrop
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
IPO Access
Desbloquear acesso completo a IPO de ações globais
Pontos Alpha
Negoceie ativos on-chain para airdrops
Pontos de futuros
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Simple Earn
Ganhe juros com tokens inativos
Investimento automático
Invista automaticamente de forma regular.
Investimento Duplo
Aproveite a volatilidade do mercado
Soft Staking
Ganhe recompensas com staking flexível
Empréstimo de criptomoedas
0 Fees
Dê em garantia uma criptomoeda para pedir outra emprestada
Centro de empréstimos
Centro de empréstimos integrado
Promoções
Centro de atividades
Participe de atividades para recompensas
Referência
20 USDT
Convide amigos para recompensas de ref.
Programa de afiliados
Ganhe recomp. de comissão exclusivas
Gate Booster
Aumente a influência e ganhe airdrops
Announcements
Atualizações na plataforma em tempo real
Blog da Gate
Artigos da indústria cripto
Serviços VIP
Enormes descontos nas taxas
Gestão de ativos
Solução integral para a gestão de ativos
Institucional
Soluções de ativos digitais para empresas
Desenvolvedores (API)
Conecta-se ao ecossistema de aplicações Gate
Transferência Bancária OTC
Deposite e levante moeda fiduciária
Programa de corretora
Mecanismo generoso de reembolso de API
AI
Gate AI
O seu parceiro de IA conversacional tudo-em-um
Gate AI Bot
Utilize o Gate AI diretamente na sua aplicação social
GateClaw
Gate Lagosta Azul, pronto a usar
Gate for AI Agent
Infraestrutura de IA, Gate MCP, Skills e CLI
Gate Skills Hub
Mais de 10 mil competências
Do escritório à negociação, uma biblioteca de competências tudo-em-um torna a IA ainda mais útil
Que perigo! Empresa de segurança cibernética descobre vulnerabilidade na Aptos: 700 mil milhões de dólares em criptomoedas em risco sistémico.
A empresa de segurança Hexens, através de hackers de chapéu branco, identificou uma vulnerabilidade de confusão de tipos na Máquina Virtual Move da blockchain Aptos, com uma taxa de sucesso de ataque próxima de 90%. A Hexens estima que, se explorada maliciosamente, o risco sistémico associado a pontes cross-chain, emissão de stablecoins e exchanges poderia ascender a 70 mil milhões de dólares.
(Notícia anterior: O首席法務官 da Grayscale, Craig Salm, afirma: É improvável que a vulnerabilidade do Zcash seja explorada antes da correção)
(Complemento de contexto: Hackers de chapéu branco expõem vulnerabilidade 0-day no Cosmos! Reinicialização de nós pode causar bloqueio total, mas a equipa oficial tratou o relatório como spam)
Índice
Toggle
Um servidor com custo de montagem inferior a 3.000 dólares, mais uma equipa de hackers de chapéu branco, seria suficiente para expor 70 mil milhões de dólares em ativos criptográficos ao risco? Esta é a conclusão de uma simulação de ataque realizada pela empresa de segurança Hexens na blockchain Aptos. Os investigadores reproduziram o ataque em condições próximas da rede principal real, com uma taxa de sucesso próxima de 90%.
Vahe Karapetyan, CTO da Hexens, é o descobridor desta vulnerabilidade. O problema, escondido na Máquina Virtual Move da Aptos (o ambiente central que executa contratos inteligentes), foi designado pela Hexens como "bug de cache obsoleto (stale-cache bug)", que causa "confusão de tipos".
Simplificando, o software é enganado, confundindo um tipo de recurso na chain com outro. Numa analogia com a arquitetura Ethereum, seria como permitir que o código controlado por um atacante escrevesse diretamente no armazenamento de outros contratos, contornando completamente as garantias de segurança de tipos que a linguagem Move pretende manter.
Servidor de 3.000 dólares, 20 simulações com 18 bem-sucedidas
Para verificar se a vulnerabilidade era realmente viável, a equipa de Karapetyan construiu um ambiente de simulação próximo da escala da rede principal: mais de 30 nós validadores, uma distribuição de staking semelhante à real, tráfego de transações genuíno e concorrência de execução intensa. Montar todo este ambiente custou apenas cerca de 3.000 dólares; se um ataque real fosse lançado, o custo seria ainda menor, e não seriam necessárias permissões de validador, conhecimento interno ou qualquer acesso privilegiado.
A equipa realizou cerca de 20 testes no ambiente simulado, com 17 a 18 bem-sucedidos, o que representa uma taxa de sucesso próxima de 90%. Mesmo nos 2 a 3 casos de falha, a rede não pararia, e o atacante poderia simplesmente esperar pacientemente pela próxima janela de oportunidade.
SEAL911 responde durante a noite, correção em 48 horas
A Hexens reportou formalmente a vulnerabilidade em 25 de fevereiro de 2026 através do programa de bug bounty da Aptos.
A Aptos afirmou que, quando recebeu o relatório, a equipa interna já estava a lidar com o problema. No mesmo dia, a equipa de resposta de emergência voluntária da indústria cripto, "SEAL911", abriu uma sala de operações. Esta equipa tornou-se, nos últimos anos, uma linha de frente crítica na resposta a vulnerabilidades graves no ecossistema cripto.
Em poucas horas, a Aptos notificou as partes afetadas e, ainda na mesma tarde, informou 4 projetos downstream principais, anexando uma prova de conceito (PoC) executável localmente. Em 27 de fevereiro, um pull request público de correção já estava online; a Aptos salientou que, antes de tornar o commit público, a equipa já tinha implementado a correção em validadores privados.
Um porta-voz oficial da Aptos disse à CoinDesk: "Quando recebemos o relatório através do bug bounty em 25 de fevereiro, a equipa interna já estava a tratar do problema. A correção foi desenvolvida, testada e implementada na rede principal em poucas horas após a descoberta, e todo o processo decorreu sem qualquer impacto em utilizadores ou fundos."
"Quase impossível de explorar"? Verificação de terceiros contradiz a versão oficial
No entanto, a narrativa pública da Aptos e a avaliação da Hexens mostram uma divergência clara. A Aptos disse à CoinDesk: "A nossa análise indica que esta vulnerabilidade tem uma probabilidade de exploração extremamente baixa em condições do mundo real." A Hexens respondeu que, até à data, não recebeu qualquer refutação técnica baseada em evidências, sendo a única dúvida levantada pela equipa oficial a componente probabilística inerente à vulnerabilidade — precisamente o problema que a técnica de "calibração não armada" visa resolver.
Contudo, os resultados de verificações independentes parecem apoiar mais a Hexens. Mudit Gupta, CTO da Polygon, após revisar a prova de conceito, afirmou: "Ela funciona conforme descrito, a vulnerabilidade faz sentido... É necessário cumprir algumas condições, mas parece que eles conseguiram fazê-lo na rede principal."
Outra entidade que verificou de forma independente a PoC da Hexens, a Grego AI, apontou que esta vulnerabilidade é suficiente para roubar as capacidades de vários protocolos, incluindo LayerZero, Wormhole e o protocolo cross-chain USDC CCTP. Justus Hanna, CEO da Grego AI, afirmou: "Se um agente malicioso obtivesse esta vulnerabilidade, poderia retirar qualquer valor total bloqueado (TVL) que desejasse."
De 250 milhões a 70 mil milhões de dólares: a ampliação da estimativa de risco
A Hexens estima que a exposição direta na chain da Aptos, envolvendo protocolos DeFi, ativos tokenizados, infraestrutura de stablecoins e staking líquido, se situe na ordem das "dezenas de milhares de milhões de dólares"; a Grego AI, com base na taxa de sucesso de ataque de quase 90%, calcula que cerca de 250 milhões de dólares do valor total bloqueado nativo da Aptos estejam diretamente ameaçados, excluindo ainda a exposição cross-chain.
Se alargarmos o âmbito ao risco sistémico mais amplo, o número apresentado pela Hexens é de 70 mil milhões de dólares, abrangendo pontes cross-chain, sistemas de mensagens cross-chain, processos de gestão de emissão de stablecoins e o valor de ativos acessíveis através de exchanges centralizadas. Este número impressionante tem como premissa que o atacante emita grandes quantidades de USDC e, em seguida, transfira os ativos para outras chains através do protocolo de transferência cross-chain da Circle (CCTP).
No entanto, a Circle declarou recentemente que não congelará ativos sem autorização legal. Por outras palavras, uma vez que as partes intervenham atempadamente, a probabilidade de os 70 mil milhões de dólares se materializarem na totalidade é baixa, mas o número continua a ilustrar a magnitude do problema.
É de notar que, na linguagem Move, permissões críticas de protocolo, como cunhar stablecoins, controlar pontes cross-chain e gerir mercados de empréstimo, são frequentemente armazenadas como "recursos on-chain". Uma vez que este tipo de papéis seja comprometido, o dano não se limita a um único protocolo, mas espalha-se ao longo da cadeia de confiança para todos os sistemas que dele dependem.
Durante os testes práticos, a equipa da Hexens chegou mesmo a assumir o controlo de um papel semelhante ao de "master minter" e operou através do caminho de gestão legítimo. Embora tenham parado antes de cunhar efetivamente, isto já foi suficiente para demonstrar que estes papéis devem ser incluídos num modelo de ameaça completo. Os investigadores consideram que a principal via para uma exposição mais ampla são as exchanges centralizadas, especialmente os caminhos de ponte da Aptos que ligam a atividade on-chain à contabilização de depósitos nas exchanges.